Die am 16. Januar 2023 in Kraft getretene DORA-Verordnung (EU) 2022/2254 wirft ihre Schatten voraus. Sie enthält Anforderungen an die digitale operationale Resilienz, die einheitlich im gesamten Finanzsektor gelten sollen und auch auf EbAV Anwendung finden (vgl. hierzu den Beitrag vom 2. Januar 2023).

Im ersten Quartal 2023 haben Vorbereitungen für die zahlreichen Level-II-Regulierungen (Technische Regulierungsstandards, technische Durchführungsstandards) begonnen, zu deren Erlass die Verordnung die Kommission ermächtigt und deren Vorbereitung den Europäischen Aufsichtsbehörden (ESA) obliegt.

Konkretisierungen zu der Verordnung wird es u.a. geben zu Fragen wie dem IKT-Risikomanagement (Richtlinien, Verfahren, Protokolle und Tools für IKT-Sicherheit, ferner: Kontroll- und Zugriffsrechte, Fehlererkennung, Wiederherstellung und Geschäftsführung). Detaillierte Anforderungen sind auch an Testverfahren (Threat Lead Penetration Tests) zu erwarten, ferner an das Vorfallmeldewesen und das Drittparteien-Risikomanagement in Zusammenhang mit Auslagerungen. Nicht alle Vorgaben der DORA-Verordnung sind im Vergleich zum aktuellen VAIT-Rundschreiben der BaFin neu. Dennoch sind in Folge der DORA-VO zumindest punktuell zusätzliche oder punktuell verschärfte Anforderungen für EbAV zu erwarten.

Möglichkeiten zur direkten Beteiligung gegenüber den ESA im Verfahren wird es im 2. Quartal 2023 geben. Dann sollen die Entwürfe der Level-II-Regulierungen von den Europäischen Aufsichtsbehörden zur Konsultation gestellt werden.